Krisenmanagement und die Rolle des Anwalts lernen aus dem Fall von Tokyu Construction mit 650.000 Datenlecks
Am 1. April 2005 (im Jahr 2005 nach dem gregorianischen Kalender) wurde das japanische Gesetz zum Schutz personenbezogener Daten vollständig in Kraft gesetzt. Obwohl Unternehmen, die personenbezogene Daten verarbeiten, verpflichtet sind, Sicherheitsmaßnahmen zu ergreifen, hören die Vorfälle von Datenlecks nicht auf.
Insbesondere bei einem Datenleck ist das Vorgehen und die Geschwindigkeit der Reaktion von entscheidender Bedeutung. Insbesondere in kleinen und mittleren Unternehmen, die möglicherweise nicht über spezialisiertes Personal für Informationssicherheit verfügen, kann es schwierig sein, sofort zu entscheiden, wie man reagieren sollte.
In diesem Zusammenhang werden wir auf der Grundlage der Reaktion der Tokken Corporation auf ihren Datenleck-Vorfall das Krisenmanagement bei Datenlecks erläutern.
Überblick über den Informationsverlust
Die Hauptpunkte des Informationsverlusts durch unbefugten Zugriff, der bei der Tōken Corporation aufgetreten ist, sind wie folgt:
- Zeitraum des Vorfalls: 24 Tage vom 20. August bis 12. September 2020
- Entdeckung: 20. Oktober 2020
- Ursache: Der Informationsverlust wurde durch einen unbefugten Zugriff Dritter auf den Server verursacht, der über die Homepage der Gruppe auf die Informationen verschiedener Benutzer zugreifen konnte.
- Betroffene: Personen, die Anfragen an die Websites der Gruppenunternehmen gestellt haben, Mitglieder und Bewerber für verschiedene Kampagnen
- Informationen: “E-Mail-Adresse”, “Name”, “Adresse”, “Telefonnummer”, “Passwort”, “Geschlecht”, “Geburtsdatum” usw.
- Anzahl der Fälle: Es besteht die Möglichkeit eines Informationsverlusts in insgesamt 657.096 Fällen von persönlichen Informationen
Entdeckung von unberechtigtem Zugriff und erste Reaktion
Am 20. Oktober 2020 entdeckte die Tokken Corporation während einer regelmäßigen Überprüfung ihrer Website einen unberechtigten Zugriff auf ihre betriebene Website “Nasurak Kitchen” und ergriff die folgenden ersten Maßnahmen.
- Als Notfall-Sicherheitsmaßnahme wurde “Nasurak Kitchen” geschlossen und alle Dienstleistungen von der Website wurden eingestellt.
- Ein “Informations-Sicherheitsmaßnahmen-Hauptquartier” wurde eingerichtet und externe Drittanbieter wurden konsultiert.
- Bis zum 11. November wurde eine Untersuchung der gesamten Gruppen-Website durchgeführt, vorläufige Schwachstellen wurden behoben und die maximale Anzahl und Art der Lecks wurden festgelegt.
Schlüsselpunkte der ersten Reaktion
Wenn das Risiko einer Informationsleckage durch unberechtigten Zugriff bestätigt wird, müssen sofort die folgenden Maßnahmen ergriffen werden, um eine Ausweitung des Schadens, das Auftreten von Sekundärschäden und eine Wiederholung zu verhindern.
- Bestätigung der Fakten (Ursache des unberechtigten Zugriffs, Route usw.)
- Stilllegung der Geräte oder Websites, die unberechtigten Zugriff erlitten haben
- Trennung der Geräte oder Websites, die unberechtigten Zugriff erlitten haben, vom Netzwerk
Wichtig ist in diesem Zusammenhang, dass keine unbedachten Aktionen durchgeführt werden und Maßnahmen zur Beweissicherung ergriffen werden, um sicherzustellen, dass die auf dem System hinterlassenen Beweise nicht gelöscht werden.
Pressemitteilung nach Aufdeckung eines Informationslecks
Die erste Veröffentlichung fand am 17. November 2020 (Reiwa 2) auf der Homepage der Tokken Corporation statt.
Die veröffentlichten Informationen enthielten neben einer Übersicht über den unbefugten Zugriff und zukünftige Maßnahmen auch eine detaillierte Beschreibung der benötigten Informationen in Form von “Fragen und Antworten zum Informationsleck durch unbefugten Zugriff”.
Die Tokken Corporation und unsere Gruppenunternehmen (im Folgenden “unsere Gruppe”) haben am 20. Oktober 2020 (Reiwa 2) festgestellt, dass unser Netzwerk von Dritten unbefugt betreten wurde und dass persönliche Informationen, wie Anfragen an Home Mate, die von unserer Gruppe betrieben wird, Mitgliederinformationen von Gruppenunternehmen und Informationen von Bewerbern für verschiedene Kampagnen, möglicherweise nach außen durchgesickert sind.
Über den Informationsverlust durch unbefugten Zugriff[ja]
In den “Fragen und Antworten zum Informationsleck durch unbefugten Zugriff”[ja], die auf der oben genannten Webseite verlinkt sind, sind folgende Inhalte enthalten:
Über den Inhalt der durchgesickerten Informationen
Q Was sind die Informationen, die diesmal durchgesickert sind?
A Wir glauben, dass “Name”, “Adresse”, “Telefonnummer”, “E-Mail-Adresse” und “Passwort” auf allen Seiten, einschließlich der von unserer Gruppe betriebenen Seiten, durchgesickert sind.
Q Sind Kreditkarteninformationen durchgesickert?
A Auf den Seiten, die von unserer Gruppe und uns betrieben werden, werden keine Informationen wie Kreditkartennummern oder My Number, die als persönliche Identifikationsnummern dienen, gespeichert, daher besteht keine Gefahr eines Lecks.
Bei der Erklärung der durchgesickerten Informationen ist es möglich, unnötige Ängste und Verwirrung zu vermeiden, indem man klar zwischen ① Informationen, die möglicherweise durchgesickert sind, und ② Informationen, die nicht durchgesickert sind, unterscheidet.
Über zukünftige Maßnahmen
Q Ist es sicher, die Seiten, einschließlich der Gruppenunternehmen von Tokken, weiterhin zu nutzen?
A Die Sicherheitsverbesserungen gegen ähnliche unbefugte Zugriffe sind auf allen Seiten, die von unserer Gruppe und uns betrieben werden, abgeschlossen.
Q Wie planen Sie in Zukunft das Informationsmanagement?
A In Zukunft werden wir, falls erforderlich, Überprüfungen durch Dritte durchführen lassen und, falls Schwachstellen auf der Seite gefunden werden, diese sofort korrigieren und uns um ein strengeres Informationsmanagement bemühen.
Bei zukünftigen Maßnahmen ist es wichtig, die Sicherheitsmaßnahmen der von den Nutzern genutzten Seiten, die Möglichkeit der Wiederverwendung und das zukünftige Informationsmanagementsystem sorgfältig zu erklären.
Fragen und Antworten zu Schadenersatz usw.
Q Werden Entschuldigungsgelder oder Unannehmlichkeitsgebühren an Personen gezahlt, die von dem Informationsleck betroffen sind?
A Basierend auf den Informationen, die durch diesen unbefugten Zugriff durchgesickert sind, planen wir nicht, Entschuldigungsgelder oder Unannehmlichkeitsgebühren zu zahlen. Wenn jedoch durch dieses Informationsleck finanzielle Schäden usw. für den Kunden entstanden sind und konkrete Beweise vorgelegt werden, wenden Sie sich bitte an unsere “Persönliche Informationsberatungsstelle”.
Q Es gab eine Abbuchung, an die ich mich nicht erinnere. Werde ich entschädigt?
A Wenn von dem Konto, das Sie besitzen, eine Abbuchung vorgenommen wurde, an die Sie sich nicht erinnern können, bitten wir Sie, sich direkt an das Unternehmen zu wenden, das die Abbuchung vorgenommen hat. Wenn festgestellt wird, dass das Informationsleck, das diesmal aufgetreten ist, zu einer Abbuchung geführt hat, an die Sie sich nicht erinnern können, bitten wir Sie, sich trotz der Unannehmlichkeiten an unsere “Persönliche Informationsberatungsstelle” zu wenden.
Es wird klargestellt, dass keine Entschuldigungsgelder oder Unannehmlichkeitsgebühren gezahlt werden, aber Schadenersatz für finanzielle Schäden, die durch das Informationsleck verursacht wurden, wird individuell besprochen.
Zeitpunkt der ersten Pressemitteilung, der Fragen aufwirft
Im Rahmen des Krisenmanagements eines Unternehmens müssen “Vermeidung einer Ausweitung des Schadens”, “Verhinderung von Sekundärschäden” und “Verhinderung von Wiederholungen” an erster Stelle stehen.
Daher ist es wichtig, die Betroffenen so schnell wie möglich zu informieren, nachdem die ersten Maßnahmen ergriffen wurden, wenn ein Informationsleck entdeckt wird.
Obwohl die Q&A der Tokken Corporation eine breite Palette von erwarteten Fragen sorgfältig beantwortet und offensichtlich sorgfältig mit Experten wie Anwälten im Voraus erstellt wurde, bleiben Fragen zur Veröffentlichung etwa einen Monat nach der Entdeckung des unbefugten Zugriffs offen.
Zweifellos möchte das Unternehmen die Untersuchung und Maßnahmen durchführen, bevor es die Informationen veröffentlicht, aber hätten die folgenden vier Punkte nicht früher als erste Meldung veröffentlicht werden sollen?
- Entdeckung des Informationslecks und die voraussichtlich betroffenen Personen
- Inhalt der durchgesickerten persönlichen Informationen
- Es besteht keine Möglichkeit, dass Kreditkartennummern und andere Kreditinformationen durchgesickert sind
- Zukünftige Struktur und Zeitplan
- Kontaktstelle
Schlüsselpunkte für Benachrichtigungen, Berichte und Veröffentlichungen
Im Falle eines Informationslecks müssen Sie je nach Ursache und Inhalt der Information die Benachrichtigung von Nutzern und Geschäftspartnern, die Meldung an Aufsichtsbehörden und die Polizei sowie die Veröffentlichung auf Websites und in den Medien in Betracht ziehen.
Im Falle einer möglichen Straftat
Wenn es eine Möglichkeit für eine Straftat im Zusammenhang mit unbefugtem Zugriff gibt, müssen Sie nach der Untersuchung der Sachverhalte und der Sicherung von Beweisen umgehend die Polizei informieren.
Im Falle der Tōken Corporation wurde ein Schadensbericht an die zuständige Behörde, das Ministerium für Land, Infrastruktur, Verkehr und Tourismus (japanisches Ministerium für Land, Infrastruktur, Verkehr und Tourismus) und die Präfekturpolizei Aichi, am Tag nach Abschluss der Untersuchung der gesamten Gruppenwebsite eingereicht.
Wenn es eine Möglichkeit für den Austritt von persönlichen Kreditinformationen gibt
Wenn es eine Möglichkeit für den Austritt von Informationen wie My Number (japanische Sozialversicherungsnummer), Kreditkartennummern, Bankkonten, IDs und Passwörtern gibt, müssen Sie die betroffene Person umgehend benachrichtigen und Maßnahmen wie deren Stopp einleiten, um Sekundärschäden zu verhindern.
Wenn der Umfang oder der Einflussbereich groß ist oder wenn eine individuelle Benachrichtigung aller Beteiligten schwierig ist
Informationen werden auf der Website veröffentlicht oder durch Pressemitteilungen bekannt gegeben. Beachten Sie jedoch, dass die Veröffentlichung zu einer Ausweitung des Schadens führen kann. In diesem Fall sollten Sie den Zeitpunkt und die Zielgruppe der Veröffentlichung sorgfältig abwägen.
Bei der Veröffentlichung ist es wichtig, Transparenz zu gewährleisten und so viele Fakten wie möglich offenzulegen. Dies trägt nicht nur zum Vertrauen in das Unternehmen bei, sondern hilft auch, die Ausweitung des Schadens und ähnliche Vorfälle zu verhindern.
Veröffentlichung der zweiten Pressemitteilung
Die Tōken Corporation hat am 9. Februar 2021, nach dem Jahreswechsel, eine zweite Mitteilung über den Datenverlust von persönlichen Informationen auf ihrer Website veröffentlicht und Korrekturen an den verlorenen Elementen und der Anzahl der Verlustfälle vorgenommen.
Nach einer erneuten Untersuchung der verlorenen Elemente durch eine forensische Untersuchung einer Drittpartei wurden einige Unterschiede festgestellt. Wir bitten Sie daher, die Details in Anhang 1 “Über die Elemente für jede Website und jeden Service” erneut zu überprüfen. (…) Darüber hinaus hat sich die Anzahl der verlorenen Fälle von maximal 657.096 auf maximal 655.488 reduziert.
Abgesehen von den oben genannten Korrekturen wurden nur geringfügige Ergänzungen, wie die Vorgehensweise bei Spam- und verdächtigen E-Mails, hinzugefügt. Der grundlegende Inhalt ist fast identisch mit der ersten Pressemitteilung, und diese Veröffentlichung war die letzte.
Das Maßnahmen-Hauptquartier als Zentrum der Krisenbewältigung
Nachdem unerlaubte Zugriffe aufgedeckt wurden, hat die Tokken Corporation ein “Hauptquartier für Informationssicherheit” eingerichtet und arbeitet mit externen Drittanbieterorganisationen und der Polizei zusammen, um Wiederholungen zu verhindern.
Die Struktur dieser Organisation ist nicht bekannt, aber es ist notwendig, nicht nur Maßnahmen zur Systemsicherheit durchzuführen, sondern auch gleichzeitig Kontakte zu betroffenen Benutzern, Medienreaktionen, Aktionärskommunikation und die Überprüfung der rechtlichen Verantwortung durchzuführen. Daher ist im Allgemeinen die Teilnahme von externen Drittanbieterorganisationen und Experten wie folgt erforderlich:
- Große Softwareunternehmen
- Top-Sicherheitsspezialanbieter
- Externe Anwälte mit tiefem Wissen über Cybersicherheit
Zusammenfassung
Wie in diesem Fall, bei dem ein großflächiger Datenleck von über 650.000 persönlichen Informationen aufgedeckt wurde, sind “Erstreaktion” und “Benachrichtigung, Berichterstattung und Veröffentlichung” sowie “Sicherheitsmaßnahmen”, die sich auf das Krisenreaktionsteam konzentrieren, von entscheidender Bedeutung.
Insbesondere wird Geschwindigkeit nicht nur bei der Erstreaktion, sondern auch bei der Benachrichtigung und Berichterstattung an die Polizei und zuständige Behörden sowie bei der Veröffentlichung an die Beteiligten (Pressemitteilung) gefordert.
Wenn Sie jedoch die falsche Vorgehensweise wählen, könnten Sie möglicherweise für Schadenersatz haftbar gemacht werden. Daher empfehlen wir, nicht eigenständig zu entscheiden, sondern sich im Voraus mit einem Anwalt zu beraten, der über umfangreiches Wissen und Erfahrung im Bereich der Cybersicherheit verfügt.
Wenn Sie sich für das Krisenmanagement bei der Informationsleckage durch Capcoms Malware interessieren, finden Sie detaillierte Informationen in unserem Artikel. Bitte schauen Sie sich diesen ebenfalls an.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in IT, insbesondere Internet und Recht. In unserer Kanzlei erstellen und überprüfen wir Verträge für eine Vielzahl von Fällen, von Unternehmen, die an der Tokyo Stock Exchange Prime gelistet sind, bis hin zu Start-up-Unternehmen. Wenn Sie Hilfe benötigen, lesen Sie bitte den folgenden Artikel.